Τεχνητή νοημοσύνη και προσωπικά δεδομένα
Η ακόλουθη εργασία με θέμα “Τεχνητή νοημοσύνη και προσωπικά δεδομένα” υποβλήθηκε στα πλαίσια του προγράμματος πιστοποίησης DPO από το Πανεπιστήμιο Αιγαίου ( Certified DPO ).
Θα θέλαμε στο σημείο αυτό να ευχαριστήσουμε θερμά την εταιρεία παροχής υπηρεσιών gdpr / data protection officer assistant www.dreamweaver.gr που μας διαθέτει την πλούσια βιβλιοθήκη της με πραγματικά πρακτικά παραδείγματα προς βοήθεια των σπουδαστών μας.
ΣΥΓΓΡΑΦΕΑΣ: ΑΙΚΑΤΕΡΙΝΗ ΤΣΑΛΙΟΥ
ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ: ΔΑΒΑΛΑΣ ΑΘΑΝΑΣΙΟΣ
Τεχνητή νοημοσύνη και προσωπικά δεδομένα
ΠΡΟΛΟΓΟΣ
Στο πλαίσιο του προγράμματος CDPO (Certified Data Protection Officer), ζητήθηκε η εκπόνηση μίας εργασίας, με στόχο την έρευνά με άξονα τα προσωπικά δεδομένα. Ο προβληματισμός αυτής της εργασίας κινήθηκε γύρω από το θέμα της τεχνητής νοημοσύνης, ενός σύγχρονου θέματος, σε συνδυασμό με τα προσωπικά δεδομένα. Στόχος του όλου αυτού εγχειρήματος είναι να γίνει κατανοητή η αλληλεπίδραση της τεχνητής νοημοσύνης με τα προσωπικά δεδομένα και συγκεκριμένα, πώς η ίδια τεχνητή νοημοσύνη παραβιάζει θεμελιώδη δικαιώματα του Γενικού Κανονισμού Προστασίας Δεδομένων (στο εξής ΓΚΠΔ ή GDPR). Στη συνέχεια, θα αναφερθούν κάποια παραδείγματα παραβίασης των δικαιωμάτων των υποκειμένων δεδομένων μέσω της χρήσης της τεχνητής νοημοσύνης με στόχο την καλύτερη κατανόηση του ΓΚΠΔ όπως και της καινοτόμους τεχνολογίας της τεχνητής νοημοσύνης.
-
Ο Γενικός Κανονισμός Προστασίας Δεδομένων
Η προστασία των δεδομένων στην Ευρώπη ξεκίνησε στη δεκαετία του 1970 μέσω της θέσπισης νομοθεσίας από κάποια κράτη για τον έλεγχο επεξεργασίας προσωπικών πληροφοριών από μεγάλες εταιρίες και δημόσιες αρχές (Οργανισμός Θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης και Συμβούλιο της Ευρώπης, 2019). Μετά από θέσπιση πράξεων προστασίας των δεδομένων σε ευρωπαϊκό επίπεδο, η προστασία τους εξελίχθηκε σε μία διακρατική αξία και μετέπειτα, θεσπίστηκε και κανονισμός περί προστασίας των προσωπικών δεδομένων. Ο Γενικός Κανονισμός για την Προστασία των προσωπικών Δεδομένων (GDPR), συμφωνήθηκε από το Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο τον Απρίλιο, του 2016. Ο κανονισμός της ΕΕ υπ. Αριθμόν 2016/679 έχει τεθεί σε ισχύ από το τον Μάιο του 2018 και αντικαθιστά την ευρωπαϊκή οδηγία και τον νόμο 1997/2472 της Ελλάδας (Eπίσημος Ιστότοπος Ευρωπαϊκής Ένωσης). Ο κανονισμός ισχύει με τροποποιήσεις πια σύμφωνα με τον νόμο 4624/2019. Είναι ένας κανονισμός ορόσημο για την προστασία των προσωπικών δεδομένων και φυσικά καινοτόμος αφού εισάγει και προστατεύει τα προσωπικά δεδομένα των πολιτών της ΕΕ και όχι μόνο. Άλλωστε, θεωρείται ότι ο κανονισμός αυτός έχει μεγάλη επιρροή σε σύγκριση με άλλους παρόμοιους νόμους παγκοσμίως (Usercentrics, 2021).
-
Τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τον ΓΚΠΔ.
Ο ΓΚΠΔ προβλέπει τα δικαιώματα των υποκειμένων επεξεργασίας δεδομένων ως εξής (Reuter, 2018: 17):
Α)Το δικαίωμα της ενημέρωσης (άρθρο 12): Τα υποκείμενα των δεδομένων έχουν το δικαίωμα να ενημερώνονται με διαφανή τρόπο σχετικά με τα προσωπικά δεδομένα που συλλέγονται και μετέπειτα τίθενται σε επεξεργασία.
Β)Το δικαίωμα πρόσβασης (άρθρα 13-15), το οποίο αφορά το αίτημα για πρόσβαση στα προσωπικά δεδομένα του υποκειμένου και γνώση του σκοπού της επεξεργασίας.
Γ)Το δικαίωμα της διόρθωσης των δεδομένων (άρθρο 16). Αφορά δεδομένα τα οποία είναι ανακριβή ή ελλιπή.
Δ) Το δικαίωμα διαγραφής (λήθης) (άρθρο 17) είναι ιδιαίτερα σημαντικό για την αποτελεσματική εφαρμογή των αρχών προστασίας δεδομένων. Το υποκείμενο έχει το δικαίωμα να ζητήσει τη διαγραφή των δεδομένων του για λόγους όπως: η μη αναγκαιότητα των δεδομένων για περαιτέρω επεξεργασία τους, η αντίθεση του υποκειμένου στην επεξεργασία κτλ.
Ε) Το δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18). Το υποκείμενο έχει το δικαίωμα να ζητήσει τον περιορισμό ή την κατάργηση των προσωπικών του δεδομένων. Το ίδιο το υποκείμενο μπορεί να ζητήσει τον περιορισμό στην πρόσβαση των δεδομένων για ένα χρονικό διάστημα ή να ζητήσει την ίδια τη επανεξέταση των δεδομένων (Reuter, 2018: 19-20).
ΣΤ) Το δικαίωμα στη φορητότητα των δεδομένων (άρθρο 20): Το υποκείμενο έχει το δικαίωμα να ζητήσει τη μεταφορά των δεδομένων του από έναν υπεύθυνο επεξεργασίας σε άλλον, εάν είναι τεχνικά εφικτό (άρθρο 20 παράγραφος 2).
Ζ)Το δικαίωμα εναντίωσης στην επεξεργασία (άρθρο 21) αφορά μία ιδιαίτερη αφορά τη δυνατότητα του υποκειμένου να αντιτίθεται σε οποιαδήποτε επεξεργασία δεδομένων για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του δηλαδή τις ειδικές περιστάσεις της ζωής, νομικές, οικονομικές, κοινωνικές καταστάσεις ανάγκης.
Η) Το δικαίωμα στη μη αυτοματοποιημένη ατομική λήψη των αποφάσεων (άρθρο 22). Το υποκείμενο των δεδομένων μπορεί να προβάλλει αντιρρήσεις όταν μία απόφαση βασίζεται αποκλειστικά σε αυτοματοποιημένη πράξη ή επεξεργασία η οποία επιφέρει έννομα αποτελέσματα.
Σημαντική είναι επίσης η αναφορά στα δικαιώματα παιδιών που είναι υποκείμενα δεδομένων. Οι ανήλικοι έχουν μικρότερη ως και μηδαμινή επίγνωση των κινδύνων της κοινοποίησης των δεδομένων. Για αυτόν ακριβώς το λόγο απαιτείται η συγκατάθεση του γονέα ή του κηδεμόνα για την επεξεργασία των δεδομένων ενός παιδιού, μέχρι μία συγκεκριμένη ηλικία. Η πρόβλεψη του δικαιώματος του παιδιού αναφέρεται στο άρθρο 8 ΓΚΠΔ.
-
Ορισμός της Τεχνητής Νοημοσύνης.
Η πρώτη αναφορά του όρου της τεχνητής νοημοσύνης εμφανίζεται το 1950 και συγκεκριμένα, στο συνέδριο του Dartmouth College, το 1956. Ο όρος αυτός επινοήθηκε και χρησιμοποιήθηκε πρώτη φορά από τον John McCarthy ως η «επιστήμη και η μηχανική της κατασκευής ευφυών μηχανών» (Collins, 1998).
Άλλη μεταγενέστερη προσέγγιση του όρου δίνεται από τον καθηγητή Manning (2020), ο οποίος σημειώνει ότι η νοημοσύνη ορίζεται ως η ικανότητα μάθησης στην εκτέλεση κατάλληλων τεχνικών, οι οποίες μπορούν να οδηγήσουν στην επιτυχή επίλυση προβλημάτων και στόχων, στο πλαίσιο μίας αβέβαιης κατάστασης και ενός συνεχώς μεταβαλλόμενου κόσμου. Ο ίδιος ο καθηγητής προσθέτει ότι πρόκειται για ένα πλήρως προ-προγραμματισμένο, ευέλικτο, συνεπές αλλά όχι ευφυές[1] ρομπότ το οποίο προσπαθεί να «φερθεί» και να μάθει όπως ο άνθρωπος. Το ρομπότ αυτό ακόμη, αποτελείται από ένα αυτόνομο σύστημα το οποίο σχεδιάζει χωρίς καθοδήγηση, είναι ανεξάρτητο δηλαδή και ακολουθεί συγκεκριμένα βήματα για την επίτευξη ενός συγκεκριμένου στόχου, μίας συγκεκριμένης αποστολής.
-
Η ανθρωποκεντρική τεχνητή νοημοσύνη.
Σε αυτό το σημείο βλέπουμε και την εμφάνιση της «ανθρωποκεντρικής τεχνητής νοημοσύνης»[2] η οποία εστιάζει σε αλγορίθμους οι οποίοι βρίσκονται σε ένα πιο ανθρωποκεντρικό σύστημα. Τί σημαίνει αυτό; Προσπαθεί να κατανοήσει μέσω αλγορίθμων, την «ανθρώπινη» γλώσσα, τα συναισθήματα και την ανθρώπινη συμπεριφορά.
Αυτού του είδους η νοημοσύνη, προσπαθεί να γεφυρώσει το χάσμα μεταξύ ανθρώπων και μηχανών. Στόχος είναι ο άνθρωπος να νιώσει ότι επικοινωνεί με άλλο ανθρώπινο ον, παρόλο που από πίσω βρίσκεται μία μηχανή. Με την ανθρωποκεντρική τεχνητή νοημοσύνη γίνεται η προσπάθεια δημιουργίας αποτελεσματικών εργαλείων και «συνεργατών» που θα μπορούν να ανταποκρίνονται στις ανθρώπινες ανάγκες. Δύο παραδείγματα εφαρμογής αυτής της νοημοσύνης είναι τα αυτόνομα αυτοκίνητα και οι εφαρμογές-ρομπότ που λειτουργούν ως έξυπνα τηλεφωνικά κέντρα εξυπηρέτησης πελατών κινητής τηλεφωνίας (γνωστά και ως chatbot).
Πώς φτάνουμε όμως στο σημείο να αναφερθούμε στα δικαιώματα των υποκειμένων δεδομένων του ΓΚΠΔ σε σχέση με τα chatbots; Όπως αναφέρθηκε παραπάνω ο ΓΚΠΔ παρέχει κάποια δικαιώματα τα οποία οι εταιρίες οι οποίες χρησιμοποιούν τα chatbots πρέπει να λαμβάνουν υπόψη. Συγκεκριμένα, σημαντική υφίσταται η ρητή συγκατάθεση των καταναλωτών πριν τα χρησιμοποιήσουν όπως και το δικαίωμα να αντιταχθούν σε οποιαδήποτε επεξεργασία δεδομένων γίνεται μέσω των εφαρμογών αυτών. Σύμφωνα με την Cointelegraph, ο ίδιος ο κανονισμός απαιτεί από τις εταιρίες αυτές να λαμβάνουν τα απαραίτητα μέτρα ως προς τη διασφάλιση των δεδομένων, την πιστοποίηση της ταυτότητας των προσωπικών δεδομένων όπως και επαρκή μέτρα προστασίας, για παράδειγμα, η ψευδωνυμοποίηση και η κρυπτογράφηση των προσωπικών δεδομένων (γνωστό και ως data protection by design[3]). Τα περισσότερα άλλωστε πρόστιμα τα οποία έχουν υποβληθεί σχετίζονται με παραβιάσεις νόμιμης συγκατάθεσης.
-
Υποθέσεις εφαρμογής ΓΚΠΔ στην τεχνολογία των chatbots.
Γενικά, αρκετές χώρες της Ευρώπης προσπαθούν να εφαρμόσουν μία πολιτική απέναντι στα chatbots ώστε να προστατεύονται πλήρως δικαιώματα των υποκειμένων των δεδομένων. Για παράδειγμα, η Εποπτική Αρχή του Λιχνεστάιν δημοσίευσε κατευθυντήριες γραμμές σχετικά με τη χρήση των chatbots. Η Αρχή δήλωσε ότι φορείς εκμετάλλευσης δεδομένων προσωπικού χαρακτήρα θα πρέπει να διαθέτουν νομική βάση πριν από την επεξεργασία των δεδομένων από αυτά και φυσικά σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ, οι χρήστες να ενημερώνονται από αυτά για όλες τις διαδικασίες που αφορούν τα προσωπικά δεδομένα και να υπάρχουν πολιτικές πρόβλεψης προστασίας δικαιωμάτων των ατόμων-υποκειμένων (Data Guidance, 2023). Ειδικότερα, πρέπει να υφίσταται ενημέρωση περί του σκοπού της επεξεργασίας, των νομικών βάσεων όπως και της περιόδου αποθήκευσης δεδομένων. Ακόμη, η ιρλανδική Αρχή Προστασίας Δεδομένων καθυστέρησε το «λανσάρισμα» του chatbot Bard της Google λόγω της έλλειψης υποστηρικτικών εγγράφων όπως και Μελέτης Εκτίμησης Αντικτύπου που να αποδεικνύουν ότι η ίδια η εταιρία Google σε θέση να επεξεργάζεται δεδομένα των πολιτών της ΕΕ και παράλληλα να προστατεύει τα δικαιώματα αυτών σύμφωνα με το ΓΚΠΔ (Dacbeachcroft, 2023).
Τέλος, μία πολύ ενδιαφέρουσα απόφαση που δημοσιεύτηκε από την ιταλική Αρχή Προστασίας Δεδομένων (9852214/ 03-02-2023)[4] τέθηκε το εξής ζήτημα. Μία εταιρία με έδρα τις ΗΠΑ ανέπτυξε ένα chatbot τεχνητής νοημοσύνης το οποίο μπορούσε να βελτιώσει τη διάθεση του χρήστη μέσω της κατανόησης των σκέψεων και των συναισθημάτων του και να προσπαθήσει να επιτύχει στόχους όπως η διαχείριση του άγχους του χρήστη, την υιοθέτηση θετικής σκέψης κ.α. Το chatbot αυτό δηλαδή ανέλαβε το ρόλο ενός «εικονικού φίλου». Η ιταλική Αρχή, μετά από δημοσίευση διαφόρων αναφορών σχετικά με το ακατάλληλο περιεχόμενο της εφαρμογής, διεξήγαγε έρευνα με επίκεντρο τη συλλογή προσωπικών δεδομένων και συγκεκριμένα επαλήθευσης της ηλικίας των χρηστών.
Από την έρευνα προέκυψε ότι, ανεξάρτητα από όσα ανέφερε η εταιρία στην πολιτική απορρήτου, δεν υπήρχε διαδικασία επαλήθευσης της ηλικίας κατά τη δημιουργία του λογαριασμού από τους χρήστες όπως και δεν υπήρχε κάποιο μέτρο αποκλεισμού των ανήλικων χρηστών. Επιπρόσθετα, η ίδια η εφαρμογή δεν είχε θέσει ηλικιακά όρια το οποίο δημιούργησε το πρόβλημα της έγκυρης συναίνεσης του ανηλίκου[5]. Ακόμη, η πολιτική απορρήτου έδειξε ότι η εταιρία δεν γνωστοποιούσε βασικές πληροφορίες περί της επεξεργασίας δεδομένων των υποκειμένων, ανεξαρτήτου ηλικίας. Κρίθηκε έτσι από την Αρχή ότι παραβιάζονταν βασικές αρχές του ΓΚΠΔ (όπως αυτή της νομιμότητας, άρθρο 6 ΓΚΠΔ), το δικαίωμα της πρόσβασης του υποκειμένου (άρθρο 13 ΓΚΠΔ) όπως και του άρθρου 25 ΓΚΠΔ (προστασία δεδομένων ήδη από το σχεδιασμό και εξ ορισμού) για τους κινδύνους που μπορούν να επέλθουν στα δικαιώματα των υποκειμένων. Η Αρχή τέλος, επέβαλλε στον Υπεύθυνο επεξεργασίας δεδομένων, τον προσωρινό περιορισμό της επεξεργασίας των δεδομένων (σύμφωνα με το άρθρο 58 ΓΚΠΔ) ο οποίος αφορά όλους τους χρήστες άνευ ηλικίας, με χρονική περίοδο λήψης απαραίτητων μέτρων 20 ημερών αλλιώς την επιβολή προστίμου σε περίπτωση μη συμμόρφωσης.
ΕΠΙΛΟΓΟΣ
Η οποιαδήποτε αδυναμία αποτροπής διαβίβασης και διαρροής (data breach) προσωπικών δεδομένων εγείρει αρκετούς προβληματισμούς ως προς τους κινδύνους που μπορεί να εμφανιστούν για τα δικαιώματα όπως και τις προσωπικές πληροφορίες των ατόμων. Για αυτό άλλωστε το λόγο χρειάζεται ιδιαίτερη προσοχή και υιοθέτηση πολιτικών προστασίας απέναντι στα δεδομένα σε σχέση με τη νέα αυτή τεχνολογία.
ΒΙΒΛΙΟΓΡΑΦΙΑ
- Αρχή Προστασίας Δεδομένων. www.dpa.gr
- Επίσημος ιστότοπος της Ευρωπαϊκής Ένωσης και ΓΚΠΔ https://ec.europa.eu https://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358
- Οργανισμός Θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης και Συμβούλιο της Ευρώπης (2019). Εγχειρίδιο σχετικά με την ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών δεδομένων. Ανακτήθηκε από https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018- handbook-data-protection_el.pdf
- Cointelegraph https://cointelegraph.com/learn/data-protection-in-ai-chatting-does-chatgpt0comply-with-gdpr-standards
- Collins, J., Youngdahl, B., Jamison, S., Mobasher, B., & Gini, M. (1998). A market architecture for multi-agent contracting. Minneapolis: K. Sycara and M. Wooldridge (eds).
- Dacbeachcroft:https://www.dacbeachcroft.com/en/gb/articles/2023/june/chatgpt-european-regulators-take-chatbots-to-task/
- Dataguidance:https://www.dataguidance.com/news/liechtenstein-dss-issues-guidelines-data-protection-0
- European Commision (2016) https://commission.europa.eu/law/law-topic/data-protection/reform/rulesbusiness-and-organisations/obligations/what-data-breach-and-what-do-wehave-do-case-data-breach_en
- GDPR HUB: https://gdprhub.eu/index.php?title=Welcome_to_GDPRhub
- Reuter P. (2018), The General Data Protection Regulation (GDPR)-AN EPSU 74 BRIEFING.
- Manning C. (2020). Artificial Intelligence Definitions, Stanford University Human Centered Artificial Intelligence https://hai.stanford.edu/sites/default/files/2023-03/AI-Key-Terms-Glossary-Definition.pdf
- Usercentrics (2021). The EU’s General Data Protection Regulation (GDPR) – an overview: https://usercentrics.com/knowledge-hub/the-eugeneral-data-protection-regulation
ΕΠΙΣΗΜΑΝΣΕΙΣ
[1] Το θέμα του «ευφυούς» ρομπότ, αναφέρεται λόγω της λέξης intelligence που στα αγγλικά μεταφράζεται ως νοημοσύνη, ευφυΐα. Ο συγγραφέας σε αυτό το σημείο θέλει να σημειώσει ότι επειδή ονομάζεται «νοημοσύνη» (intelligence), δεν σημαίνει ότι είναι συγχρόνως και ευφυές ή έξυπνο.
[2] Σύμφωνα με το Cognizant glossary.
[3] Σύμφωνα με την Ευρωπαϊκή Επιτροπή (άρθρα 25 και 32 ΓΚΠΔ), οι οργανισμοί και οι εταιρίες υποχρεώνονται στην υιοθέτηση τεχνικών και οργανωτικών μέτρων σχεδιασμένα για την εφαρμογή των αρχών προστασίας δεδομένων όπως για παράδειγμα την κρυπτογράφηση που αναφέρεται παραπάνω.
[4] Διαθέσιμο στο: https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9852214
[5] Έγκυρη θεωρείται η συναίνεση η οποία δίνεται από ανήλικο 16 ετών και άνω. Διαφορετικά, για ανηλίκους κάτω των 16 ετών έγκυρη θεωρείται η συγκατάθεση που δίνεται από αυτόν που ασκεί τη γονική μέριμνα ή τον κηδεμόνα.